As redes informáticas, nomeadamente no meio empresarial, constituem um recurso vital por onde circula muita informação confidencial; para além disso, suportam e interligam as várias máquinas da infra-estrutura de informação e comunicação. Partindo do princípio que os colaboradores não são potenciais atacantes, ou seja, que possíveis ataques não têm a sua origem no interior da organização, pode-se considerar uma rede privada sem acesso externo um ambiente totalmente seguro. Todavia este conceito encontra-se totalmente ultrapassado porque existe a necessidade da organização estar ligada à rede global, já que, os recursos que a Internet proporciona, são considerados, generalizadamente, uma fonte de conhecimento indispensável.

 As Firewalls vêm lidar com os riscos inerentes à ligação das redes privadas às redes públicas, sobretudo, a Internet. Como a tradução literal “Parede corta-fogo” indica, o objectivo desta componente é actuar como uma barreira contra “incêndios”, impedindo acessos externos originados por atacantes.

 As Firewalls são infra-estruturas que isolam um perímetro protegido de redes, potencialmente, perigosas. O objectivo não é cortar toda e qualquer interacção entre as redes, mas sim controlar o tráfego entre redes distintas e impedir a transmissão e/ou recepção de dados nocivos ou não autorizados. Pretende fornecer segurança e tem duas funções principais: protecção por isolamento de máquinas ligadas à rede e controlo das interacções entre máquinas. Na Fig.  1 é apresentado um cenário de utilização típica, em que a firewall controla o tráfego entre uma rede segura e uma rede insegura.

·           Endereço IP de origem / destino

·           Máscara de sub-rede IP de origem / destino

·           Porta de origem / destino

·           Tipo de protocolo

·           Interface de entrada / saída

·           Status da ligação

·           Opções dos cabeçalhos IP

 A Firewall para além de actuar normalmente como uma gateway, pode também executar funções de tradução de endereços, tradicionalmente conhecido como NAT. Para o desempenho dessas funções, utiliza normalmente duas operações elementares:

·           IP masquerading – tem como objectivo esconder toda uma rede privada por detrás de um único IP público. É criada uma tabela de tradução de endereços IP privados em portos e, desta forma, são geridas dinamicamente as comunicações entre os computadores da rede interna e o exterior.

·           Port forwarding – Também conhecido como SNAT (Source Network Address Translation), consiste em criar entradas estáticas na tabela de mapeamento de endereços IP em portos. É possível, por esta via, disponibilizar à rede exterior serviços que se encontram alojados num servidor da rede privada.

 Uma das firewalls de software mais utilizadas, o Iptables, é o módulo responsável pela configuração das regras do Netfilter, podendo assim controlar os filtros nativos dos núcleos do Linux. O funcionamento destes filtros vai depender das regras introduzidas pelo administrador.

 Representa-se no esquema que se segue, o fluxo de encaminhamento dos pacotes de dados através da estrutura do Netfilter / Iptables.

 A estrutura lógica do iptables é composta por três elementos:

·           Cadeias (Chains) – consiste numa sequência de regras que desencadeiam uma acção. Cada datagrama que passa pela firewall é analisado neste conjunto de condições até se enquadrar numa delas e, subsequentemente, é efectuada a respectiva acção associada. Existem cinco chains tipo: INPUT, OUTPUT, FORWARD, PREROUTING e POSTROUTING, podendo ser criadas cadeias adicionais para simplificação do processo.

·           Tabelas – Servem para agrupar as regras de cada cadeia. Existem três tipos de tabelas base: filter, nat e o mangle. A primeira serve para filtrar os pacotes de dados, a segunda é utilizada no serviço de NAT e a última, serve para alterar os datagramas.

·           Regras – Define qual o procedimento que se deve dar a cada pacote, segundo a informação do seu cabeçalho. Servem de base ao funcionamento do netfilter.

 Como quase todos os produtos, o Iptables apresenta vantagens e desvantagens, sendo necessário efectuar o balanceamento entre as duas. Dentro das principais vantagens distinguem-se: não ter custos económicos associados, ser apenas um núcleo de uma arquitectura que pode ser estendida, apresentar um bom nível de estabilidade suportada numa comunidade extensa e activa e não consumir muitos recursos computacionais.

As desvantagens prendem-se com: alguma complexidade, aliada à falta de ferramentas gráficas de apoio aos administradores de rede.

Na globalidade pode considerar-se uma óptima ferramenta, desde que se esteja disponível a investir algum tempo na aprendizagem do seu modo de funcionamento.

[Eng. André Serpa; Dissertação de Mestrado]